添加端口转发规则后,您可以为其配置转发策略,具体包括:会话保持、健康检查、非网站业务DDoS防护策略。

前提条件

已添加端口转发规则。具体操作请参见步骤1:添加端口配置

背景信息

通过配置转发策略,您可以根据业务实际需求,优化转发功能。例如,
  • 开启基于IP地址的会话保持后,可以将来自同一IP地址的请求转发到同一个后端服务器上。
  • 开启健康检查后,检测后端服务器的可用性,在转发客户端请求时避开异常服务器。
  • DDoS防护策略是基于IP地址和端口级别的防护,支持对接入DDoS高防的非网站业务的IP及端口的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护功能。

操作步骤

  1. 端口配置页面,选择要设置的DDoS高防实例。端口配置
  2. 定位到要操作的转发规则,根据需要为其设置会话保持、健康检查、非网站业务DDoS防护策略。
    • 会话保持
      1. 单击会话保持列下的配置
      2. 会话保持对话框,根据需要启用或关闭会话保持:
        • 如果要启用会话保持,请设置超时时间,并单击完成
        • 如果要关闭会话保持,直接单击关闭会话保持
      回话保持
    • 健康检查
      1. 单击健康检查列下的配置
      2. 健康检查对话框中,完成健康检查配置。配置描述见下表(单击高级设置可以展开或隐藏高级设置选项)。
        类型 健康检查配置项 说明
        四层、七层 检查端口 健康检查服务访问后端服务器时的探测端口。默认使用源站端口,范围为1~65535。
        仅七层 域名检查路径 仅适用于TCP协议规则。七层健康检查默认由高防转发系统向该服务器应用配置的缺省首页发起HTTP HEAD请求。
        • 如果您用来进行健康检查的页面并不是应用服务器的缺省首页,则需要指定域名和具体的检查路径。
        • 如果您对HTTP HEAD请求限定了host字段的参数,您只需要指定检查路径,即用于健康检查页面文件的URI。域名不用填写,默认为后端服务器的IP。
        高级设置 响应超时时间 每次健康检查的最大超时时间,取值范围为1~30秒。如果后端服务器在指定的时间内没有正确响应,则判定为健康检查失败。
        高级设置 检查间隔 进行健康检查的时间间隔,取值范围为1~30秒。高防集群内所有节点,都会独立、并行地遵循该属性对后端服务器进行健康检查。由于各高防节点的检查时间并不同步,所以,如果从后端某一服务器上进行单独统计,会发现来自高防IP的健康检查请求在时间上没有遵循指定的时间间隔。
        高级设置 不健康阈值 同一高防节点服务器针对同一后端服务器,在健康检查状态为成功时,连续多少次健康检查失败后,状态判定为失败,取值范围为1~10。
        高级设置 健康阈值 同一高防节点服务器针对同一后端服务器,在健康检查状态为失败时,连续多少次健康检查成功后,状态判定为成功,取值范围为1~10。
        健康检查,四层
      3. 单击完成。成功开启健康检查。若您想关闭健康检查,单击配置后,直接在健康检查对话框中单击关闭健康检查即可。
    • 非网站业务DDoS防护策略
      1. 单击DDoS防护策略列下的配置
      2. 非网站业务DDos防护页签下,根据需要为目标转发规则设置非网站业务DDoS防护策略。支持设置的DDoS防护策略包括虚假源、目的限速、包长度过滤、源限速。
        • 虚假源:针对虚假IP发起的DDoS攻击进行校验过滤。
        • 目的限速:以当前高防IP、端口为统计对象,当每秒访问频率超出阈值时,对当前高防IP的端口进行限速,其余端口不受限速影响。
        • 包长度过滤:设置允许通过的包最小和最大长度,小于最小长度或者大于最大长度的包会被丢弃。
        • 源限速:以当前高防IP、端口为统计对象,对访问频率超出阈值的源IP地址进行限速。访问速率未超出阈值的源IP地址,访问不受影响。源限速支持黑名单控制,对于60秒内5次超限的源IP,您可以启用将源IP加入黑名单的策略,并设置黑名单的有效时长。

      更多信息,请参见设置DDoS防护策略